Evaluación de Impacto de la Privacidad

La Evaluación de Impacto de la Privacidad como herramienta

El nuevo Reglamento General de Protección de Datos de la Unión Europea en su artículo 35, establece algunos supuestos en los cuales es necesaria una Evaluación de Impacto de la Privacidad (EIP) previa al tratamiento de datos personales.

En concreto, determina que si el tratamiento de datos personales va a llevar a cabo un análisis intensivo y exhaustivo de datos de personas para el análisis de perfiles, de infracciones penales o datos biométricos, deberá llevase a cabo esta evaluación de impacto. También deberá realizarse esta evaluación si el tratamiento está relacionado con en control de acceso al público a gran escala o si se considera que el tratamiento puede llevar implícito un riesgo para los derechos o libertades de los afectados.

Si esta evaluación de impacto determina que no puede llevarse a cabo con las garantías necesarias el tratamiento de los datos, el Responsable de Ficheros deberá consultar con la entidad reguladora correspondiente, para la adopción de los medios suficientes para garantizar el tratamiento de los datos o buscar soluciones alternativas.

A pesar de que pueda ser vista como una tarea accesoria, es fundamental sobre todo en el análisis y los estadios iniciales de los proyectos que gestionan datos personales, pues pueden ayudar a identificar los riesgos más importantes y valorar que medidas y recursos hay que destinar para el nuevo tratamiento de datos.

Las fases más importantes, aunque no excluyentes a otras que se quieran llevar a cabo, a la hora de realizar una EIP serian las siguientes:

  • Análisis del flujo de datos

  • Identificar los tipos de riesgos: a los afectados, a la empresa, legales, etc

  • Identificar las soluciones a los riesgos

  • Implantar las medidas y soluciones

  • Implicación de todos los responsables del desarrollo de negocio en la EIP

Como en todos los proyectos de consultoría, en la EIP es fundamental obtener el feedback de los agentes implicados. De esta manera se puede generar una cultura de “privacidad por defecto”, que es lo que realmente busca el nuevo reglamento y no ha de servir solamente para buscar culpables o determinar errores en un momento del ciclo de vida del tratamiento de datos.

Photo credit: tec_estromberg via Foter.com / CC BY

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.